[uylug-varios] VPN "standalone" ??

[Carlos Martinez]

Para mi siempre el seguro / inseguro va de la mano de una valoración de los adversarios. En el caso que a mi me ocupaba, era mucho mas problemático lidiar con la instalación de clientes en maquinas a las que no tenia acceso que usar pptp, incluyendo potenciales riesgos. Como les dije, esto fue hace 3 años, seguramente en su momento cuando mire el OpenVPN tampoco estaba tan evolucionado.

Hay otro punto. En mi caso, el problema que me ayudaba a resolver pptp mas que un problema de seguridad es un problema de enrutamiento (y de 'atrevesamiento de NAT'). Dado que el extremo central tiene una sola IP y múltiples servidores con multiples servicios, es mucho mas seguro/mantenible usar un túnel que configurar N*M traslaciones de puertos, con las consiguientes configuraciones particulares en c/cliente para acceder a servicios en puertos no-standard.

Si Windows hubiese tenido un cliente GRE pelado (es decir, solo tunneling, sin cifrado) a mi prácticamente me hubiese servido igual. ¿Porque? porque los servicios a los que se accede ya son cifrados en si mismos, https / ssh / imaps / etc. El cifrado doble lo unico que me agrega es una penalidad de performance.

De nuevo, ese es (o era, hace 3 años) mi dominio de problema. Si fuese hoy me cuestionaría no solo el usar OpenVPN, sino por ejemplo el hacerle un túnel IPv6 con direcciones ULA. ¿Porque? Porque el mayor problema que he tenido durante estos años es la colisión de direcciones. Es decir, como la red interna ya era 192.168.1.0/24 y renumerarla lamentablemente no era una opción, he tenido casos de clientes a los que no les andaban las cosas porque en su casa también tenían la misma red; y en algunos casos tuve que implementar parches medio horrorosos hasta que convencía a la gente de renumerar la red de su casa.

salutes,

Carlos

.
Carlos Martinez
carlosmarcelomartinez at gmail.com
http://cagnazzo.name




On Mar 30, 2012, at 9:31 AM, Eduardo Trápani wrote:

>> Mmm no se bien que tan inseguro.
> 
> https://en.wikipedia.org/wiki/Pptp#Security_of_the_PPTP_protocol
> 
> Pongo eso porque está bien escrito, las fuentes están marcadas ahí y es
> más fácil que pegar cuatro enlaces (no porque "lo dice la Wikipedia" ;)).
> 
> De todas maneras lo inseguro no es el PPTP, sino algunos algoritmos
> subyacentes, que podrían cambiarse: MSCHAP-v1, v2 y el cifrado de MPPE.
> Con otros mecanismos PPTP sería seguro (ahí hablan de EAP-TLS).
> 
>> Ojo, lo mío no es una discussion for/against OpenVPN. OVPN me parece barbaro y también lo uso, pero comente otra opción porque me parece que hay escenarios donde quizás se adapte mejor.
> 
> Sí, y está bueno para algunas de las situaciones que ponías arriba.  Y
> siempre y cuando las redes en las que se muevan los clientes te permitan
> el PPTP/GRE.  ¿Será que lo más "común" en firewalls es permitirlo?  Lo
> de GRE me suena raro, es un tipo de IP, es como dejar ir y venir ICMP ...
> 
> Eduardo.
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy